I numerosi attacchi ransomware hanno reso l’assicurazione cyber una priorità per i responsabili aziendali. Tuttavia, nonostante questa consapevolezza, accendere o rinnovare una polizza è più difficile che mai. Le violazioni continuano a mettere sotto pressione le compagnie di assicurazioni che rispondono con premi ancora più alti e requisiti di sottoscrizione più severi, nel tentativo di mitigare i rischi.
Ciò che era considerato accettabile per il 2022 potrebbe non esserlo più nel 2023.
Cosa significa per le aziende che operano nel mercato della cyber assicurazione? Preparatevi a rispondere a una lunga lista di domande pre-audit e dimostrare una solida strategia di difesa.
L’importanza di una cyber insurance per proteggere l’azienda dai rischi informatici
Indice degli argomenti
Le principali sfide per il mercato delle cyber assicurazioni
La crescente frequenza e sofisticazione dei cyber attacchi, soprattutto quelli ransomware, ha spinto un numero ancora maggiore di aziende a cercare una copertura. Ma sono ormai molto numerose le assicurazioni cyber che hanno registrato enormi indici di perdita diretta per polizze individuali e cercano di coprire adeguatamente costi in crescita, ma le cose stanno cambiando rapidamente.
Si consideri l’indice del mercato assicurativo globale Marsh & McLennan Cos. Global Insurance Market Index che ha rilevato che i prezzi delle assicurazioni cyber negli Stati Uniti sono saliti alle stelle nel secondo trimestre del 2022, con un aumento del 79% rispetto a un anno fa, dopo essere più che raddoppiati nei due trimestri precedenti.
Gli assicuratori oggi non si limitano a prendere in considerazione il rischio ransomware quando rendono i requisiti più severi. Anche l’attuale volatilità dei mercati e le continue tensioni geopolitiche entrano nell’equazione. SolarWinds, Kaseya, Log4j e altri incidenti di alto profilo hanno intensificato le preoccupazioni sui rischi della catena di fornitura del software, sollevando nuove domande circa il rischio di perdite cumulative e sistemiche.
Nel frattempo, le normative globali sulla privacy continuano a evolversi in modo frammentario e le controversie e le multe sono in aumento, alimentando ancora di più le domande di sottoscrizione.
Con le tariffe in aumento, HelpNetSecurity riferisce che il numero di organizzazioni che non potranno permettersi un’assicurazione IT, o a cui verrà rifiutata o offerta una copertura limitata, è destinato a raddoppiare nel 2023.
Nel 2023 i requisiti saranno molto più stringenti
Ottenere una polizza o un rinnovo con le condizioni giuste può essere difficile, ma non impossibile. CJ Dietzman, CISSP, CISA, managing director e cyber security marketplace leader in Marsh Specialty, ha confermato che vettori e sottoscrittori rispondono favorevolmente alle aziende che definiscono robusti controlli di sicurezza e piani di risposta agli incidenti, in particolare quelle disposte ad approfondire le proprie architetture di cybersecurity e le roadmap pianificate.
I sottoscrittori spesso valutano sistemi e pratiche di sicurezza utilizzando strumenti di scansione open source come OpenVAS e OpenSCAP per sondare le reti del richiedente alla ricerca di vulnerabilità e servizi di classificazione della sicurezza come SecurityScorecard e BitSight per valutare il rischio.
Durante queste valutazioni, cercano prove di controlli e pratiche specifiche di cyber security, e gli audit del 2023 esamineranno alcune aree ancora più da vicino.
Poiché gli attacchi ransomware partono in genere da postazioni di lavoro e server, la sicurezza degli endpoint sarà sottoposta ad attento scrutinio. Una volta, gli assicuratori volevano verificare che un’azienda avesse formato i propri dipendenti sulle tecniche di phishing e di furto di credenziali e che avesse utilizzato soluzioni di rilevamento e risposta degli endpoint (EDR/XDR) per identificare e correggere le attività sospette.
Mentre formazione e soluzioni EDR/XDR restano fondamentali (e sono tuttora richieste dalla maggior parte degli assicuratori), gli attaccanti si evolvono continuamente.
Ciò rende molto difficile per i dipendenti riconoscere in modo affidabile le nuove tecniche di compromissione e significa che i cyber criminali più sofisticati hanno trovato il modo di disattivare o aggirare l’EDR/XDR abusando delle credenziali amministrative, come si è visto nel caso SolarWinds, inducendo la necessità di un maggiore controllo dei privilegi degli endpoint, in particolare sulla capacità di un’azienda di rimuovere i diritti di amministrazione locale.
La grande sfida per le imprese sarà trovare il giusto equilibrio tra controllo dei privilegi ed efficienza operativa.
Anche i requisiti per l’autenticazione a più fattori (MFA), che fino a poco tempo fa erano una voce da spuntare, stanno aumentando.
Gli assicuratori hanno iniziato a scavare più a fondo quando un maggior numero di analisi post-payout ha rivelato che l’MFA non veniva utilizzata appieno, in particolare nei settori della sanità e dell’istruzione superiore.
Hanno riscontrato importanti lacune nella copertura degli account privilegiati, che spesso non sono collegati a una persona specifica, ma vengono utilizzati dagli amministratori di sistema e da altri utenti privilegiati.
Di conseguenza, i sottoscrittori hanno iniziato a imporre la gestione PAM per gli account privilegiati non legati a utenti specifici (ad esempio, gli account di amministrazione locale, di root e di servizio) per ottenere l’MFA, oltre all’isolamento delle risorse di alto valore.
Gli assicuratori stanno inoltre esaminando il modo in cui le aziende autenticano gli utenti privilegiati di terze parti provenienti da organizzazioni di fornitori che hanno bisogno di accedere a dati sensibili e sistemi aziendali. I fornitori hanno bisogno della stessa sicurezza, ma raramente ricevono la medesima considerazione dei dipendenti. Ad esempio, se un fornitore viene assunto per un periodo di due settimane, dovrebbe essere inserito e disinserito seguendo gli stessi processi HR di un nuovo dipendente per ridurre al minimo i rischi.
Questa maggiore attenzione alla gestione degli accessi privilegiati sta iniziando a estendersi oltre le identità umane anche a quelle non umane, che in genere sono più numerose delle prime nell’ordine di 45:1.
Queste “identità macchina” potrebbero essere le più comuni, ma non le più evidenti: possono essere account di servizio, segreti hardcoded o qualsiasi soluzione off-the-shelf o homegrown che richieda credenziali per svolgere la propria funzione (ad esempio, piattaforme di database per la gestione della configurazione e strumenti di orchestrazione DevOps), insieme a processi automatizzati come l’automazione dei processi robotici (RPA).
In questo contesto, gli assicuratori stanno cercando di rafforzare i controlli privilegiati sui sistemi automatici di gestione delle patch, sugli scanner di vulnerabilità e su altri strumenti di sicurezza esistenti che gli attaccanti potrebbero tentare di disattivare.
Al di là delle salvaguardie tecnologiche, le società assicurative vogliono comunque vedere pratiche solide da parte degli utenti, come la conduzione di una formazione continua sulla consapevolezza della cyber security.
Valuteranno anche le pratiche di backup dei dati e i piani di risposta agli incidenti per capire quanto velocemente l’organizzazione possa ripristinare le operazioni in seguito a un attacco.
Ecco come le assicurazioni gestiscono i danni da cyber crime e cyberwar
Passi nella giusta direzione
Quando le aziende si preparano a rinnovare l’assicurazione contro le minacce informatiche devono essere consapevoli che i requisiti di controllo della sicurezza si stanno evolvendo per far fronte al mondo frenetico del business digitale.
Tuttavia, un cambiamento accelerato è sempre difficile da un punto di vista organizzativo e culturale e può suscitare paura e incertezza. Il modo migliore per minimizzare questo fenomeno è assicurarsi che le persone comprendano il “perché” e che i controlli per la mitigazione dei rischi non incidano sull’efficienza operativa. È importante che le aziende dedichino tempo al fattore educativo.
La buona notizia è che un numero sempre maggiore di aziende si sta facendo avanti e sta adottando misure significative per rafforzare le proprie difese contro il ransomware. Con l’implementazione e l’uso più efficace di controlli più forti, le perdite degli assicuratori iniziano a stabilizzarsi. Non siamo ancora fuori dai guai, ma stiamo iniziando a muoverci nella giusta direzione.
Mentre le organizzazioni lavorano per soddisfare i requisiti odierni con un occhio al futuro, la loro attenzione deve rimanere sulla mitigazione efficace del rischio informatico senza rallentare l’attività.
